[推薦] 病毒測試再一發測試你的防毒軟體

看板EZsoft (小軟體)作者chweng時間16年前 (2009/01/24 18:58)推噓19(20推 1噓 19→)

留言40則, 24人參與討論串1/2 (看更多)

看到板上關於測試病毒的討論，就想到我之前曾經在其他地方發表過的一個測試小程式。在這邊也提供給大家做個簡單的測試，如果你的防毒軟體抓不出來的話，可能就要考慮一下是不是要換一套囉。自從電腦進入網際網路的時代之後，各種惡意程式以數倍於以往的速度爆炸性地增長。各家防毒軟體都宣稱他們更新病毒碼的速度如何地快、掃描的技術如何地先進。甚至有些防毒軟體公司喊出了「啟發式偵測技術（Heuristic Detection Technology）」的新概念，期望能夠在防毒軟體更新病毒資料庫之前的這段空檔，就病毒的惡意行為進行監控並攔截，達到更全面的防杜效果。但，事實如何呢？且讓以下的小程式來做個測試。測試程式效果： 1. 將 Internet Explorer 的預設首頁網址替換為 http://tw.yahoo.com/ 。 2. 修改 C:\Windows\system32\drivers\etc\hosts 檔案，將 tw.yahoo.com 轉向 Google 首頁。 3. 因此，執行此程式之後再開啟 IE 瀏覽器，你會發現首頁網址變成 http://tw.yahoo.com/ ，但顯示的卻是 Google 搜尋引擎的首頁！回復方法： 1. 至 IE 的「工具 / 網際網路選項」，將首頁的網址改掉。 2. 以記事本開啟 C:\Windows\system32\drivers\etc\hosts 這個檔案，將最後一行 72.14.235.104 tw.yahoo.com 刪除並存檔退出。 3. 重新開啟 IE 瀏覽器做測試，看看是否恢復正常。測試程式原始碼： * 本程式以 Windows 批次檔方式撰寫，並以 bat2com 程式轉換為可執行檔。 * 原始碼如下（將以下內容存為 virtest.bat 或 virtest.cmd 後直接執行即可，或是下載下方網址提供的程式進行測試。）： ------------------------------------------------------------------------------- @echo off echo Windows Registry Editor Version 5.00>virtest.reg echo [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]>>virtest.reg echo "Start Page"=">virtest.reg" rel="nofollow">http://tw.yahoo.com/">>virtest.reg %SystemRoot%\regedit.exe /s virtest.reg del /q virtest.reg echo.>>%SystemRoot%\system32\drivers\etc\hosts echo 72.14.235.104 tw.yahoo.com>>%SystemRoot%\system32\drivers\etc\hosts ------------------------------------------------------------------------------- * 有關 bat2com 或 bat2exe 的工具程式，請自行 Google 相關關鍵字。測試程式下載點： http : // lab.in2000.us / virtest.com * 請將上一行網址中所含的空白全部消除，即可得正確的下載網址。 * 下載前請務必確實瞭解上述說明，並且確認有自行恢復本程式所造成之異常狀況的能力。本人不對因使用本程式所造成的任何損害負責！測試完畢，你的防毒軟體是否合格呢？就我所知，少數的防毒軟體，會針對本測試程式修改系統重要設定、檔案的動作進行攔截，但大部分的防毒軟體仍是渾然不覺的。我以 Avira AntiVir Personal（小紅傘免費版）更新至最新版（截至 2009/01/24）、所有設定為預設值的狀況對該程式進行掃描，並反覆執行測試程式多次，該防毒軟體皆無任何反應。另以內政部警政署提供的「免費電腦健康檢查程式NPASCAN」進行掃描，同樣沒有出現令人驚艷的結果。（該軟體首頁： http://www.npa.gov.tw/NPAGip/wSite/ct?xItem=44087&ctNode=11435&mp=1 ）這個測試小程式最早於兩年多前發表在某回饋母校而後隨即被關閉的 BBS 上，即使從兩年後的現在來看，防毒軟體的表現仍然令人感到失望。請千萬別輕忽這個修改首頁與 IP 對應的小動作！任何有心人士，都可以藉著這樣的小技倆，將你導向未知的仿造網站，並藉以騙取你的網路服務帳號及密碼！現今撰寫程式的門檻已經大幅降低。不需要高深的技術，即可產生一個非常具有威脅性的惡意程式。面對日新月異、千變萬化的自寫惡意程式，傳統病毒特徵碼比對的方式顯然已經不夠。目前雖有「啟發式偵測技術」這個不錯的概念，但是離真正的實用階段還有不算短的距離要努力。對於「是否該用防毒軟體」這個議題，我個人一向抱持著，「好的使用習慣勝過任何防毒、反木馬、防 xxx 的防護軟體」的態度。對於某些誤以為「只要多裝幾套防毒掃描監控程式就萬無一失」這種離譜想法的人，更是極有導正的必要。常在論壇下載各式懶人包、快樂 / 破解檔的人，更是要特別注意，免得哪天被木馬屠城了還在搶沙發謝謝大大。並不是說所有的懶人包快樂檔都意圖不軌，但是，若要下載任何非經官方合法程序取得的軟體，請務必認清相關風險。別以為這樣的事情不可能發生，日前以幾乎不會中毒著稱的蘋果電腦，也發生低調版軟體的安裝程式疑似被植入惡意程式的消息。 http://chinese.engadget.com/2009/01/23/iwork-09-trojan-infects-at-least-20- 000-machines/ （請與上一行合併，或使用短網址： http://tinyurl.com/ca6atl ）農曆年快到了，希望大家的電腦也能來個大掃除，平平安安過個沒有病毒、蠕蟲、木馬、惡意程式的新年。 -- 強制把 Google 設為首頁，某些方面來講其實是善意程式來的... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.116.199.71

推

bestpika

01/24 19:02, , 1^F

01/24 19:02, 1^F

推

abatw

01/24 19:14, , 2^F

01/24 19:14, 2^F

推

dabeniao

01/24 19:57, , 3^F

01/24 19:57, 3^F